Management Centerのアップグレード

Management Center のアップグレード チェックリスト

計画と実現可能性

誤りを避けるには、注意深い計画と準備が役立ちます。

アクション/チェック

詳細

展開を評価します。

状況を理解することにより、目的を達成する方法を決定します。現在のバージョンとモデル情報に加えて、展開が高可用性/拡張性を実現するように設定されているかどうか、デバイスが IPS またはファイアウォールとして展開されているかどうかなどを確認します。

アップグレードパスを計画します。

これは、大規模展開、マルチホップアップグレード、またはオペレーティングシステムまたはホスティング環境をアップグレードする必要がある状況では特に重要です。次を参照してください。

アップグレードガイドラインを読み、設定の変更を計画します。

主要なアップグレードでは特に、アップグレードの前または後に、アップグレードにより重要な設定変更が発生することがあります。リリースノートを使用して開始します。

アプライアンスへのアクセスを確認します。

デバイスは、アップグレード中、またはアップグレードが失敗した場合に、トラフィックを渡すことを停止できます。アップグレードする前に、ユーザーの位置からのトラフィックがデバイスの管理インターフェイスにアクセスするためにデバイス自体を通過する必要がないことを確認してください。

デバイスを経由せずに Management Center の管理インターフェイスにアクセスできる必要もあります。

帯域幅を確認します。

管理ネットワークに大量のデータ転送を実行するための帯域幅があることを確認します。可能な場合は常に、アップグレードパッケージを事前にアップロードしてください。アップグレードパケージをアップグレード時に管理対象デバイスに転送する場合は、帯域幅が不十分だとアップグレード時間が長くなったり、アップグレードがタイムアウトする原因となったりする可能性があります。

Firepower Management Center から管理対象装置へのデータをダウンロードするためのガイドライン』(トラブルシューティング テクニカルノーツ)を参照してください。

メンテナンス時間帯をスケジュールします。

影響が最小限になるメンテナンス時間帯をスケジュールします。トラフィックフローおよびインスペクションへの影響、およびアップグレードにかかる可能性がある時間を考慮してください。また、この時間帯で実行する必要があるタスクと、事前に実行できるタスクを検討します。

Threat Defense アップグレードのトラフィックフローとインスペクションおよび時間とディスク容量のテストを参照してください。

バックアップ

アップグレードの前後に、安全な遠隔地にバックアップし、正常に転送が行われることを確認することを強くお勧めします。

  • アップグレード前:アップグレードが致命的な失敗であった場合は、再イメージ化を実行し、復元する必要がある場合があります。再イメージ化によって、システムパスワードを含むほとんどの設定が工場出荷時の初期状態に戻ります。最近のバックアップがある場合は、通常の操作にすばやく戻ることができます。

  • アップグレード後:これにより、新しくアップグレードされた展開のスナップショットが作成されます。新しい Management Center バックアップファイルがデバイスがアップグレードされたことを「認識」するように、管理対象デバイスをアップグレードした後に Management Center をバックアップしてください。

アクション/チェック

詳細

設定およびイベントをバックアップします。

Cisco Secure Firewall Management Center アドミニストレーション ガイドの「バックアップ/復元」の章を参照してください。

Firepower 4100/9300 の FXOS をバックアップします。

Chassis Manager または FXOS CLI を使用して、論理デバイス設定およびプラットフォーム設定を含むシャーシ設定をエクスポートします。

詳細については、『Cisco Firepower 4100/9300 FXOS コンフィギュレーション ガイド』の「コンフィギュレーションのインポート/エクスポート」を参照してください。

アップグレードパッケージ

アップグレードパッケージは シスコ サポートおよびダウンロード サイト で入手できます。アップグレードの前にアップグレードパッケージをシステムにアップロードすると、メンテナンス時間が短縮されます。

アクション/チェック

詳細

アップグレードパッケージをアップロードします。

Management Center の高可用性では、Management Center アップグレードパッケージを両方のピアにアップロードし、パッケージをスタンバイに転送する前に同期を一時停止する必要があります。同期の中断を制限するには、アップグレードの準備段階でパッケージをアクティブのピアに転送し、同期を一時停止した後に、実際のアップグレードプロセスの一環としてスタンバイのピアに転送します。

アップグレードパッケージのアップロード を参照してください。

関連するアップグレード

メンテナンス時間帯にホスティング環境のアップグレードを実行することをお勧めします。

アクション/チェック

詳細

仮想ホスティングをアップグレードします。

必要に応じて、ホスティング環境をアップグレードします。通常、古いバージョンの VMware を実行していて、メジャーアップグレードを実行している場合、アップグレードが必要です。

最終チェック

一連の最終チェックにより、ソフトウェアをアップグレードする準備が整います。

アクション/チェック

詳細

設定を確認します。

必要なアップグレード前の設定変更を行っていることを確認し、必要なアップグレード後の設定変更を行う準備をします。

NTP 同期を確認します。

時刻の提供に使用している NTP サーバーとすべてのアプライアンスが同期していることを確認します。時刻のずれが 10 秒を超えている場合、ヘルスモニターからアラートが発行されますが、手動で確認する必要もあります。同期されていないと、アップグレードが失敗する可能性があります。

時刻を確認するには、次の手順を実行します。

  • Management Center:[システム(System)] > [設定(Configuration)] > [時刻(Time)] を選択します。

  • Threat Defense show time CLI コマンドを使用します。

ディスク容量を確認します。

ソフトウェアアップグレードに関する ディスク容量チェックを実行します。空きディスク容量が十分でない場合、アップグレードは失敗します。

時間とディスク容量のテスト を参照してください。

設定を展開します。

アップグレードする前に設定を展開すると、失敗する可能性が減少します。これは、トラフィックフローとインスペクションに影響を与える可能性があります。Threat Defense アップグレードのトラフィックフローとインスペクションを参照してください。

準備状況チェックを実行します。

互換性と準備状況のチェックに合格すると、アップグレードが失敗する可能性が低くなります。

Management Center のアップグレード準備状況チェックを参照してください。

実行中のタスクを確認します。

重要なタスク(最終展開を含む)が完了していることを確認します。アップグレードの開始時に実行中のタスクは停止し、失敗したタスクとなり、再開できません。

バージョン 6.6.3+ からのアップグレードは、スケジュールされたタスクを自動的に延期します。 アップグレード中に開始するようにスケジュールされたタスクは、アップグレード後の再起動の 5 分後に開始されます。これが起こらないようにするには(または以前のバージョンからアップグレードする場合)、アップグレード中に実行するようにスケジュールされているタスクを確認し、それらをキャンセルまたは延期します。

Management Center のアップグレードパス

次の表に、Management Center のアップグレードパスを示します。

Management Center では、その管理対象デバイスと同じまたはより新しいバージョンを実行する必要があります。Management Center よりも新しいバージョンのデバイスをアップグレードすることはできません。メンテナンス(3 桁)リリースの場合でも、最初に Management Center をアップグレードする必要があります。

現在の Threat Defense /Management Center のバージョンが対象のバージョンより後の日付にリリースされた場合、期待どおりにアップグレードできない可能性があります。このような場合、アップグレードはすぐに失敗し、2 つのバージョン間にデータストアの非互換性があることを説明するエラーが表示されます。現在のバージョンと対象のバージョンの両方のに関するリリースノートには、特定の制限が掲載されています。

表 1. Management Center の直接アップグレード

現在のバージョン

ターゲットバージョン

7.2

→ 以降の 7.2.x メンテナンスリリース

7.1

次のいずれかです。

→ 7.2 または 7.2.x メンテナンスリリース

→ 以降の 7.1.x メンテナンスリリース

7.0

FMC 1000、2500、4500 に対する最後のサポート

次のいずれかです。

→ 7.2 または 7.2.x メンテナンスリリース

→ 7.1 または 7.1.x メンテナンスリリース

→ 7.0.x 以降のメンテナンスリリース

(注)   

データストアの非互換性のため、 をバージョン 7.0.4 以降からバージョン 7.1.0 にアップグレードすることができません。バージョン 7.2 以降に直接アップグレードすることをお勧めします。

6.7

次のいずれかです。

→ 7.2 または 7.2.x メンテナンスリリース

→ 7.1 または 7.1.x メンテナンスリリース

→ 7.0 または 7.0.x メンテナンスリリース

→ 6.7.x メンテナンスリリース以降

6.6

FMC 2000 および 4000 の最後のサポート。

次のいずれかです。

→ 7.2 または 7.2.x メンテナンスリリース

→ 7.1 または 7.1.x メンテナンスリリース

→ 7.0 または 7.0.x メンテナンスリリース

→ 6.7 または 6.7.x メンテナンスリリース

→ 6.6.x メンテナンスリリース以降

(注)   

データストアの非互換性のため、FMC をバージョン 6.6.5 以降からバージョン 6.7.0 にアップグレードすることができません。バージョン 7.0 以降に直接アップグレードすることをお勧めします。

6.5

次のいずれかです。

→ 7.1 または 7.1.x メンテナンスリリース

→ 7.0 または 7.0.x メンテナンスリリース

→ 6.7 または 6.7.x メンテナンスリリース

→ 6.6 または 6.6.x メンテナンスリリース

6.4

FMC 750、1500、および 3500 の最後のサポート。

次のいずれかです。

→ 7.0 または 7.0.x メンテナンスリリース

→ 6.7 または 6.7.x メンテナンスリリース

→ 6.6 または 6.6.x メンテナンスリリース

→ 6.5

6.3

次のいずれかです。

→ 6.7 または 6.7.x メンテナンスリリース

→ 6.6 または 6.6.x メンテナンスリリース

→ 6.5

→ 6.4

6.2.3

次のいずれかです。

→ 6.6 または 6.6.x メンテナンスリリース

→ 6.5

→ 6.4

→ 6.3

アップグレードパッケージのアップロード

アップグレードパッケージは、署名付きの tar アーカイブ(.tar)です。署名付きのパッケージをアップロードした後、パッケージが確認されるため、Management Center の [システムの更新(System Updates)] ページのロードに数分かかることがあります。表示を迅速化するには、不要なアップグレードパッケージを削除してください。署名付きのパッケージは解凍しないでください。

始める前に

高可用性ペアのスタンバイの Management Center をアップグレードしている場合は、同期を一時停止します。

Management Center の高可用性では、Management Center アップグレードパッケージを両方のピアにアップロードし、パッケージをスタンバイに転送する前に同期を一時停止する必要があります。同期の中断を制限するには、アップグレードの準備段階でパッケージをアクティブのピアに転送し、同期を一時停止した後に、実際のアップグレードプロセスの一環としてスタンバイのピアに転送します。

手順


ステップ 1

シスコ サポートおよびダウンロード サイト から適切なアップグレードパッケージをダウンロードします。https://www.cisco.com/go/firepower-software

ファミリまたはシリーズのすべてのモデルに同じソフトウェア アップグレード パッケージを使用します。適切なソフトウェアを見つけるには、使用しているモデルを選択または検索し、適切なバージョンのソフトウェアのダウンロードページを参照します。使用可能なアップグレードパッケージは、インストールパッケージ、ホットフィックス、およびその他の該当するダウンロードとともに表示されます。

アップグレードパッケージのファイル名には、次のように、プラットフォーム、パッケージタイプ(アップグレード、パッチ、ホットフィックス)、ソフトウェアバージョン、およびビルドが反映されています。

Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2-999.sh.REL.tar

ステップ 2

Management Center で、[システム(System)] > [更新(Updates)] を選択します。

ステップ 3

[更新のアップロード(Upload Update)] をクリックします。

ヒント 

一部のアップグレードパッケージは、リリースが手動でダウンロードできるようになってからしばらくすると、直接ダウンロードできるようになります。遅延の長さは、リリースの種類、リリースの選択、およびその他の要因によって異なります。Management Center がインターネットにアクセスできる場合は、代わりに [アップデートのダウンロード(Download Updates)] をクリックして、展開の対象となるすべてのパッケージと、必要に応じて最新の VDB をダウンロードできます。

ステップ 4

[アクション(Action)] については、[ローカル ソフトウェア アップデート パッケージのアップロード(Upload local software update package)] オプションボタンをクリックします。

ステップ 5

[Choose File] をクリックします。

ステップ 6

パッケージを参照し、[Upload] をクリックします。


Management Center のアップグレード準備状況チェック

Management Center 準備状況チェックを実行するには、次の手順を使用します。

準備状況チェックでは、メジャーアップグレードとメンテナンスアップグレードの準備状況を評価します。準備状況チェックで不合格になると、問題を修正するまでアップグレードできません。 準備状況チェックの実行に必要な時間は、モデルとデータベースのサイズによって異なります。 準備状況チェックを行っている間は、手動で再起動またはシャットダウンしないでください。

始める前に

アップグレードパッケージを Management Center にアップロードします。

手順


ステップ 1

Management Center で、[システム(System)] > [更新(Updates)] を選択します。

ステップ 2

[利用可能なアップデート(Available Updates)] で該当するアップグレードパッケージの横にある [インストール(Install)] アイコンをクリックして、Management Center を選択します。

ステップ 3

[準備状況の確認(Check Readiness)] をクリックします。

メッセージセンターで準備状況チェックの進行状況をモニターできます。


次のタスク

[システム(System)] > [更新(Updates)]ページで、[準備状況チェック(Readiness Checks)] をクリックすると、進行中のチェックや不合格のチェックなど、展開全体の準備状況チェックのステータスが表示されます。また、このページを使用して、不合格となった後にチェックを簡単に再実行することもできます。

Management Center のアップグレード:スタンドアロン

この手順を使用して、スタンドアロンの Management Center をアップグレードします。


注意    

アップグレード中は、設定の変更の実施または展開を行わないでください。システムが非アクティブに見えても、進行中のアップグレードを手動で再起動、シャットダウン、または再起動しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には Cisco TAC にお問い合わせください。


始める前に

事前アップグレードのチェックリストを完了します。正常に展開され、通信が確立されていることを確認します。

手順


ステップ 1

Management Center で、[システム(System)] > [更新(Updates)] を選択します。

ステップ 2

[利用可能なアップデート(Available Updates)] で該当するアップグレードパッケージの横にある [インストール(Install)] アイコンをクリックして、Management Center を選択します。

ステップ 3

[インストール(Install)] をクリックし、アップグレードして再起動することを確認します。

ログアウトするまで、メッセージセンターで事前チェックの進行状況をモニターできます。

ステップ 4

可能なときに、再度ログインします。

  • メジャーアップグレードとメンテナンスアップグレード:アップグレードが完了する前にログインできます。アップグレードの進行状況をモニターし、アップグレードログとエラーメッセージを確認するために使用できるページが表示されます。アップグレードが完了し、システムが再起動すると再度ログアウトされます。リブート後に、再ログインしてください。

  • パッチとホットフィックス:アップグレードと再起動が完了した後にログインできます。

ステップ 5

アップグレードが成功したことを確認します。

ログイン時にアップグレードの成功メッセージが表示されない場合は、[ヘルプ(Help)] > [バージョン情報(About)] を選択して、現在のソフトウェアのバージョン情報を表示します。

ステップ 6

侵入ルール(SRU/LSP)および脆弱性データベース(VDB)を更新します。

シスコ サポートおよびダウンロード サイト で利用可能なコンポーネントが現在実行中のバージョンより新しい場合は、新しいバージョンをインストールします。侵入ルールを更新する場合、ポリシーを自動的に再適用する必要はありません。後で適用します。

ステップ 7

アップグレード後に必要な構成変更があれば、実行します。

ステップ 8

管理対象デバイスに構成を再展開します。


Management Center のアップグレード:ハイアベイラビリティ

ハイアベイラビリティ Management Center を 1 つずつアップグレードします。同期を一時停止して、まずスタンバイをアップグレードしてから、アクティブにします。スタンバイのアップグレードが開始されると、ステータスがスタンバイからアクティブに切り替わり、両方のピアがアクティブになります。この一時的な状態のことを「スプリットブレイン」と呼び、アップグレード中(およびパッチのアンインストール中)を除き、サポートされていません。


注意    

ペアが split-brain の状況で、構成の変更または展開を行わないでください。同期の再開後は変更内容が失われます。 アップグレード中は、設定の変更の実施または展開を行わないでください。システムが非アクティブに見えても、進行中のアップグレードを手動で再起動、シャットダウン、または再起動しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には Cisco TAC にお問い合わせください。


始める前に

両方のピアの事前アップグレード チェックリストを完了します。正常に展開され、通信が確立されていることを確認します。

手順


ステップ 1

アクティブ状態の Management Center で、同期を一時停止します。

  1. [システム(System)] > [統合(Integration)] の順に選択します。

  2. [ハイ アベイラビリティ(High Availability)] タブで、[同期の一時停止(Pause Synchronization)] をクリックします。

ステップ 2

アップグレードパッケージをスタンバイにアップロードします。

Management Center の高可用性では、Management Center アップグレードパッケージを両方のピアにアップロードし、パッケージをスタンバイに転送する前に同期を一時停止する必要があります。同期の中断を制限するには、アップグレードの準備段階でパッケージをアクティブのピアに転送し、同期を一時停止した後に、実際のアップグレードプロセスの一環としてスタンバイのピアに転送します。

ステップ 3

ピアを一度に 1 つずつアップグレード:最初はスタンバイ、次はアクティブです。

Management Center のアップグレード:スタンドアロン」の手順に従います。各ピアで更新が成功したことを確認したら停止します。要約すると、各ピアで次の手順を実行します。

  1. [システム(System)] > [更新(Updates)] ページで、アップグレードをインストールします。

  2. ログアウトするまで進行状況をモニターし、ログインできる状態になったら再度ログインします(これは 2 回行われる場合があります)。

  3. アップグレードが成功したことを確認します。

ステップ 4

アクティブ ピアにする Management Center で、同期を再開します。

  1. [システム(System)] > [統合(Integration)] の順に選択します。

  2. [ハイ アベイラビリティ(High Availability)] タブで、[アクティブにする(Make-Me-Active)] をクリックします。

  3. 同期が再開し、その他の Management Center がスタンバイ モードに切り替わるまで待ちます。

ステップ 5

侵入ルール(SRU/LSP)および脆弱性データベース(VDB)を更新します。

シスコ サポートおよびダウンロード サイト で利用可能なコンポーネントが現在実行中のバージョンより新しい場合は、新しいバージョンをインストールします。侵入ルールを更新する場合、ポリシーを自動的に再適用する必要はありません。後で適用します。

ステップ 6

アップグレード後に必要な構成変更があれば、実行します。

ステップ 7

管理対象デバイスに構成を再展開します。